De hoogste cybersecurity adviseur van de Amerikaanse president heeft het bedrijfsleven opgeroepen voor de feestdagen nog de wachtwoorden te wijzigen. Dat, samen met andere maatregelen, moet voorkomen op grote schaal systemen worden geïnfiltreerd zonder dat het opvalt.
Makkelijke prooi
Uit de oproep vallen twee dingen op te maken. Een is dat IT beheer in Amerika tijdens de feestdagen geringer is dan normaal. Twee is dat het misbruiken van wachtwoorden nog steeds de meest waarschijnlijke aanvalsvector is. Gelden die twee punten ook voor Nederland?
Nederlandse werkplekken
Dat IT beheer hier op een lager pitje staat is minder waarschijnlijk, maar dan om een andere reden. Hier hebben we te maken met wederom een lockdown, dus er zijn nu veel meer mensen op kantoor. Beheer van die fysieke werkplekken staat al op een laag pitje. Dat wordt gecompenseerd met meer aandacht over het verkeer van en naar het kantoornetwerk vanaf thuiswerkplekken. De ervaring van de laatste 20+ maanden heeft aangetoond dat die controle behoorlijk goed werkt.
2FA
Dan is er het punt van de wachtwoorden. Zou het in Nederland slim zijn of nut hebben personeel op te roepen nog snel voor het komende feestdagen de wachtwoorden te wijzigen? Waarschijnlijk niet en wel om twee redenen. Als het goed is zal iedereen die nu merkt dat er nu massaal die oproep wordt gemaild nattigheid voelen. Het kan zomaar een phishing actie zijn. Andere reden is dat iedere verstandige ondernemer zijn personeel al verplicht van 2FA gebruik te maken. Dat ontslaat de werknemers (en directies) niet van de taak te kiezen voor goede wachtwoorden. Maar 2FA is een behoorlijke horde voor cybercrimininelen.
(er is overigens een reden waarom IT beheerder de komende dagen eerder meer dan minder werk te verwachten hebben. Log4J heeft zo te zien nog enige verrassingen in petto)